Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci Şekil 5’te tanımlanmıştır. Süreç; planlama, uygulama, kontrol etme ve önlem alma ile değişiklik yönetimi alt süreçlerinden oluşmaktadır.
Planlama kapsamında özet olarak; kurum varlıklarının gruplandırılması, gruplama sonucu elde edilen varlık gruplarının kritiklik derecelendirmesinin yapılması, bu varlık grubuna uygulanması gereken güvenlik tedbirlerinin mevcut durumunun analizi ve boşluk analizinin yapılarak yol haritasının hazırlanması faaliyetleri yürütülür. Yol haritasına uygun olarak yürütülecek çalışmalar uygulama alt sürecinde gerçekleştirilir. Rehber kapsamında yürütülen çalışmaların izlenmesi ve kontrolü faaliyetleri, kontrol etme ve önlem alma süreci kapsamında gerçekleştirilir. Kontrol etme ve önlem alma fazında ayrıca, rehberde yer alan tedbirlerin uygulanma durumunu tespit edebilmek için iç ve dış denetim faaliyetleri yürütülür. Rehberdeki güncellemelere uyum için yapılacak değişikliklerin belirlenmesi, kurum varlık gruplarında gerçekleşecek değişikliklerin (varlık grubu içeriğinin değişmesi, yeni varlık gruplarının tanımlanması, varlık grubu kritiklik derecesinin değişmesi vb.) rehberde tanımlanan tedbirlerle uyumunun sağlanması çalışmaları değişiklik yönetimi kapsamında ele alınır. Sonraki alt başlıklarda Şekil 5’te tanımlanan fazlar ve bu süreçler kapsamında yürütülecek faaliyetler açıklanmaktadır. Tablo 1’de SAM rollerine ilişkin kısaltmaların açıklamaları yer almaktadır. Alt süreçler kapsamında gerçekleştirilecek faaliyetler ve her bir faaliyet için örnek roller özelinde tanımlanmış sorumluluklar Tablo 2’deki SAM tablosu ile belirtilmektedir.
Tablo 1. SAM Rolleri Açıklamaları
Kısaltma | Açıklaması |
S | Sorumlu: Görevi gerçekleştiren personel |
O | Onaylayan: Görevi durdurabilen, devam ettirebilen, son kararı verebilen ve hesap veren personel |
D | Danışılan: Görev yapılmadan önce bilgisine başvurulması gereken personel |
B | Bilgilendirilen: Görev yapıldıktan sonra görevin bittiği konusunda bilgilendirilen personel |
Tablo 2’de roller; iç paydaş ve dış paydaş olmak üzere iki kategori altında ele alınmakta olup, ilgili personelin üstlendiği veya o kişiye atanan görev olarak ifade edilmektedir. Alt süreçler doğrultusunda gerçekleştirilecek çalışmalar ise faaliyet olarak tanımlanmakta olup, her bir rolün faaliyetler özelinde tanımlanan sorumluluk ve yetki alanları yer almaktadır.
Tablo 2’de adı geçen rollerin açıklamaları aşağıda verilmiştir:
Kurumun En Üst Düzey Yöneticisi: Kurum hiyerarşisinde bilgi güvenliğinin sağlanmasından ve yönetiminden sorumlu en üst mevkide yer alan kişi.
Bilgi Güvenliği Yöneticisi: Kurumda bilgi güvenliğinin sağlanmasından ve yönetiminden sorumlu personel.
Bilgi Sistemleri Yöneticisi: Kurumda bilgi sistemlerinin yönetiminden sorumlu personel/birim yöneticisi.
İç Denetçi: Kurumda iç denetimi gerçekleştiren personel. İlgili Birim Yöneticileri: Kurumda, Rehber uygulama sürecinde yer alan aşamaları gerçekleştirme hususunda sorumluluk alacak birim yöneticileri.
İlgili Birim Uzman Personeli: Rehber uygulama sürecinde yer alan aşamaları gerçekleştirme hususunda sorumluluk alacak birim personeli.
Kurumsal SOME Yöneticisi: Kurumda bulunan siber olaylara müdahale ekibinin yöneticisi.
Varlık Grubu Koordinatörü: Rehber uygulama sürecinde yer alan aşamalarda bilgi birikimine danışılan ve bu aşamaları koordine eden personel.
Dış Denetim Personeli: Rehber uygulama sürecinin ve güvenlik tedbirlerinin kurumda uygulanıp uygulanmadığını denetleyen üçüncü taraf denetçiler.
DDO: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
Bağlı/İlgili/İlişkili Üst Kurum: Kurumun bağlı/ilgili/ilişkili olduğu üst kurum (Ör. Bakanlıklar).
İlgili Düzenleyici ve Denetleyici Kurum: BDDK, EPDK, SPK ve BTK gibi düzenleyici/denetleyici kurumlar.
Teknik Danışman: Rehber uygulama sürecinde bilgi birikimine danışılan üçüncü taraf personel.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.